A mediados del primer trimestre del año, se evidenció en la telemetría de ESET, compañía líder en detección proactiva de amenazas, un aumento del 20% en las detecciones latinoamericanas de una familia particular de malware: Win32/Injector.Autoit. Por lo menos el 54% de las detecciones se han concentrado en dos países de la región: Argentina y México. Completando el top de detecciones, se encuentran Colombia con 13%, Ecuador con 8%, Perú con 7% y Chile con 5%.
Esta campaña activa se basa en correos maliciosos apuntados a empresas de Latinoamérica con el objetivo de distribuir el infostealer Formbook, un malware que desde 2024 escaló en el ranking de detecciones, posicionándose como la principal amenaza infostealer con un crecimiento del 200% en las detecciones.
Los correos falsos parecen estar diseñados para engañar a personas de áreas como Recursos Humanos o Finanzas, ya que tienen una estructura que simula el tipo de mensaje que podría enviarse a estas áreas. Al ejecutar el archivo adjunto, que simula ser un currículum, una cotización o formularios de pedidos, entre otros, lo que se ejecuta es un archivo compilado en Autoit que dará origen a la infección cuyo payload final será una variante de Formbook.
Formbook es un tipo de malware que se identifica principalmente como un «stealer», es decir, un programa diseñado para robar información confidencial de los dispositivos infectados. Este malware ha sido empleado en diversas campañas de cibercrimen debido a su efectividad y a la facilidad con la que puede adquirirse en el mercado negro digital. Dentro de las características de esta amenaza se pueden resaltar:
- Robo de credenciales: Captura credenciales y otros datos sensibles ingresados por la víctima en formularios web, de ahí su nombre.
- Keylogging: Registra las pulsaciones del teclado para obtener información adicional, como números de tarjetas de crédito y contraseñas.
- Captura de pantallas: Toma capturas de pantalla del dispositivo infectado en momentos específicos o cuando se accede a información sensible.
- Exfiltración de datos: Envía la información recolectada a servidores controlados por los atacantes.
“Este tipo de campañas se propagaron en varios países de la región y notamos que los artefactos maliciosos utilizados varían dependiendo del país donde se detecta. Según los casos, se observa que si bien el código puede estar un poco más ofuscado, la estructura de las funciones es muy similar. Se descargan dos archivos en la máquina de la víctima, sobre los cuales se ejecutarán las mismas acciones; primero obtener la shellcode para ser inyectada y ejecutar el payload final, una variante de Formbook.”, comenta Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
A continuación, se comparte un detalle de cómo se estructura la campaña, con el análisis del equipo de especialistas del Laboratorio de Investigación de ESET Latinoamérica:
En el siguiente diagrama se puede ver cómo es el proceso de infección, partiendo desde la recepción de un correo electrónico que contiene un archivo adjunto comprimido, hasta llegar al payload final que es una variante del infostealer Formbook.
Pie de imagen: Diagrama del proceso de infección
Si bien los correos electrónicos no impersonan entidades o empresas conocidas, por el nombre del archivo adjunto se puede inferir que apuntan a víctimas dentro de empresas. Algunos nombres encontrados en los archivos adjuntos de estas campañas son:
- CV Benedita Oliveira.zip
- curriculum vitae.zip
- Facturas de pago 01124,01125,01126.zip
- Solicitud de cotización.zip
- NUEVO FORMULARIO DE PEDIDO 09-3880073016.ZIP
La revisión del tipo de nombres utilizados para propagar este tipo de campañas maliciosas da la idea del tipo de víctimas que están buscando. Desde ESET, comentan que es posible que estén tratando de propagar este tipo de archivos entre personas que trabajen en equipos de Recursos Humanos o Finanzas/Contabilidad, que por sus actividades diarias estén acostumbrados a recibir este tipo de mensajes.
Pie de imagen: Correo electrónico con archivo adjunto malicioso de ejemplo.
Al momento de ejecutarse el archivo comprimido, lo que realmente se está ejecutando un archivo compilado de Autoit que dropea un par de archivos en la ruta temporal del sistema para iniciar con el proceso de infección.
Del análisis de este archivo, detectado por las soluciones de ESET como una variante de Win32/Injector.Autoit, se pueden identificar las acciones que realiza la amenaza en el dispositivo de la víctima. Primero decodifica el archivo spiketop, haciendo algunos reemplazos para obtener una shellcode que luego va a tratar de inyectar abusando de las características de Autoit. El objetivo final es ejecutar el malware final dentro la máquina de la víctima. Una vez que llega a una variante del infame Formbook, que será inyectado en el proceso svchost, podrá realizar las acciones maliciosas sobre el dispositivo de la víctima.
“El análisis de este tipo de campañas hecha luz sobre la manera en la que funcionan las campañas maliciosas que, a pesar de propagarse en países diferentes, utilizan técnicas similares. El abuso de tecnologías como Autoit brinda más posibilidades a los atacantes, por eso es importante conocer estas técnicas para contar con información suficiente que nos permita responder de manera eficiente ante un incidente.”, concluye Gutiérrez Amaya de ESET Latinoamérica.
Para saber más sobre seguridad informática visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/autoit-distribuye-infostealer-formbook-empresas-latinoamerica/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
